1. 引言

本文主要关注Sapling note。

Zcash中Sapling note以$\mathbf{n}$表示，其代表a value $v$ is spendable by the recipient who holds the spending key corresponding to a given shielded payment address。

1.1 相关约定

• $\text{MAX\_MONEY}$：为$2.1\ast 10^{15}$ (zatoshi)
• $l_{PRFnfSapling}$：为256。
• $l_d$： 为88。
• $NoteCommi{t}^{Sapling}$：为Windowed Pedersen commitment。
• $K{A}^{Sapling}$：为Sapling Key Agreement。
• $DiversifyHas{h}^{Sapling}$：为Hash Function。
• $l_{value}$：为64。
• $l_{Merkle}^{Sapling}$：为255。

2. Sapling note

Sapling note的组成为tuple $\mathbf{n}=(d,p{k}_d,v,rcm)$，其中：

• $d$：为接收方的shielded payment address对应的diversifier值。【为88bit，${\mathbb{B}}^{[l_d]}$】
• $p{k}_d$：为接收方的shielded payment address对应的diversified transmission key。【为Jubjub point，$K{A}^{Sapling}.PublicPrimeSubgroup$】
• $v$：取值范围为$\text{MAX\_MONEY}$，代表note中的value值，单位为zatoshi。
• $rcm$：为random commitment trapdoor。【$NoteCommi{t}^{Sapling}.Trapdoor$】

可将a Sapling note表示为 $Not{e}^{Sapling}$：
$Not{e}^{Sapling}={\mathbb{B}}^{[l_d]}\times K{A}^{Sapling}.PublicPrimeSubgroup\times \text{MAX\_MONEY}\times NoteCommi{t}^{Sapling}.Trapdoor$

可通过”Sending Notes“来创建新的note，当note已发送，仅对以上值的commitment会对外公开，同时增加一个叫做”note commitment tree“的data structure。而具体的value值和接收方可继续保密，当需要spend the note时，仅需在zk-SNARK proof中使用该commitment值，来验证该note确实存在于链上。

对$\mathbf{n}=(d,p{k}_d,v,rcm)$ Sapling note的commit计算方式为：

• $g_d=DiversifyHas{h}^{Sapling}(d)$
• 若$g_d$为无效point，则返回$\perp$；否则返回$NoteCommi{t}_{rcm}^{Sapling}(rep{r}_{\mathbb{J}}(g_d),rep{r}_{\mathbb{J}}(p{k}_d),v)$

注意Sapling note中并不包含$\rho$元素，若已知该note在note commitment tree中的位置，可计算出相应的$\rho$值。已知note position $pos$ 的Sapling note可称为 positioned note。

note的nullifier可表示为$nf$。
Sapling note的nullifier值可根据 $\rho$值和接收方的nullifier deriving key $nk$ 计算获得。

在nullifier 的计算过程中，会用到Pseudo Random Function。

Sapling note spent的过程为：

• 对外公开spent note对应的nullifier $nf$值，$nf$值可用于防止双花；
• prove knowledge of $(\rho ,ak,nsk)$ in zero knowledge；
• 额外还需要a spend authorization signature，用于证明knowledge of $ask$。

2.1 Sapling note plaintext and memo field

区块链上的transmitted notes是以密文形式存储，同时附加有该note的commitment $cm$值。

Sapling note plaintext可表示为$\mathbf{n}\mathbf{p}$，其组成有：
( l e a d B y t e : B Y , d : B [ l d ] , v : { 0.. 2 l v a l u e − 1 } , m e m o : B Y [ 512 ] ) (leadByte:\mathbb{B}^{\mathbb{Y}}, d:\mathbb{B}^{[l_d]},v:\{0..2^{l_{value}}-1\}, memo:\mathbb{B}^{\mathbb{Y}^{[512]}}) (leadByte:BY,d:B[ld​],v:{ 0..2lvalue​−1},memo:BY[512])

其中$d,v$的含义同上，$memo$为与该note关联的512字节的memo field。
The usage of the $memo$ field is by agreement between the sender and recipient of the note。

• JoinSplit description中：采用相应的transmission keys $p{k}_{enc,1..N^{new}}^{new}$ 来对note plaintext进行加密。
• Output description中：采用diversified payment address $(d,p{k}_d)$ 来对note plaintext进行加密。

3. Zcash区块链

在特定时间，每一个full validator都会感知到a set of candidate blocks。这些候选区块以tree的形式存在，该tree的root根为genesis block。tree中的每个节点都通过区块头中的”hashPrevBlock“ field来指向其父节点。
tree中，由根节点到某叶子节点的路径中包含了一个或多个符合共识规则的区块，该路径称为valid block chain。

区块链中的每个区块都有相应的block height。genesis block的区块高度为0，后续区块的区块高度依次加1。

为了从整个block tree中选择best valid block chain，区块链节点会对每一个valid block chain中的work求和，并认为work值最大的路径为the best valid block chain。为了断开leaf block之间的关系，区块链节点会优先选择其先收到的区块。

所谓共识协议，是用于保证在任意区块高度，绝大多数的区块链节点都对到那高度的best valid block chain 达成共识。

3.1 Zcash区块链交易及treestate

每个区块包含1笔或多笔交易。

交易中的transparent inputs值会插入到交易对应的”transparent transaction value pool“中，而transparent outputs会将相应的值从该pool中移除。在Bitcoin中，pool中剩余的值则作为矿工的费用。同时要求pool中剩余的值必须为非负数。

Sapling中，每笔交易都有相应的initial treestates，每个treestate包含有：

• a note commitment tree
• a nullifier set

UTXO (Unspent Transaction Output) validate state 针对的是transaprent inputs and outputs。

note commitment tree的Merkle tree root称为anchor。根据该Merkle tree hash function的安全假设属性，anchor可唯一确定该note commitment tree的state。
由于nullifier set总是和note commitment tree同步更新，anchor也可标识所关联nullifier set的特定状态。

Sapling区块链中，treestates的链接方式为：

• 第一个区块的input treestate为空；
• 区块中第一笔交易的input treestate为前一区块的final treestate；
• 同一区块中（除第一笔交易外）的每一笔交易的input treestate为前一笔交易的output treestate。
• 区块的final treestate为其最后一笔交易的output treestate。

Sprout中的JoinSplit description存在interstitial input and output treestate，而Sapling中，不存在interstitial treestate。

JoinSplit transfer中不会用到Sapling notes。

Zcash中设计为：

• 对于每个shielded input，有单独的Spend transfer；【交易中Spend transfer相关数据为Spend description】
• 对于每个shielded output，有单独的Output transfer。【交易中Output transfer相关数据为Output description】

每笔交易中包含了一系列的Spend descriptions 和 一系列的Output descriptions。

• Spend transfer
  Spend transfer 花费 note ${\mathbf{n}}^{old}$，其Spend description中包含了 a Pedersen value commitment to the value of the note。其与an instance of a Spend statement关联，会提供a zk-SNARK proof。

• Output transfer
  Output transfer 创建 note ${\mathbf{n}}^{new}$，其Output description中包含了 a Pedersen value commitment to the value of the note。其与an instance of a Output statement关联，会提供a zk-SNARK proof。

3.2 Note commitment tree

note commitment tree为具有固定depth的incremental Merkle tree，其用于存储由JoinSplit transfer或Spend transfer产生的note commitments。

note commitment tree 与 Bitcoin中的unspent transaction output set (UTXO set) 的相同之处在于：

• 都可以express the existence of value and the capability to spend it。

note commitment tree 与 Bitcoin中的unspent transaction output set (UTXO set) 的不同之处在于：

• note commitment tree为append-only的，无法用其来防止双花。

note commitment tree的root 与 每个treestate 关联。

该incremental Merkle tree中的每个节点都与一个hash值关联，该hash值的长度为255-bit。

令root在0层，则在第$h$层，有$2^h$个节点，编号为0~$2^h-1$。将$h$层$i$节点对应的hash值表示为$M_i^h$。

所谓note position，是指：
the index of a note’s commitment at the leafmost layer。

3.3 Nullifier set

每个full validator都维护了a nullifier set logically associated with each treestate。
由于valid transaction中可包含JoinSplit transfer或Spend transfer，则相应JoinSplit description或Spend description中的nullifier值会插入到与new treestate 相关的 nullifier set中。

为了防止双花，valid block chain中的nullifier值被强制要求为唯一的。

valid block chain中，同一交易内和跨交易的nullifier值都必须为不重复的。Sprout nullifier和Sapling nullifier尽管二者具有相同的bit pattern，但是可认为二者是不相交的。

3.4 区块奖励，funding streams and founders’ reward

与Bitcoin类似，Zcash也是通过挖区块来铸币，挖区块所创造的值称为区块奖励。
与Bitcoin类似，区块矿工可获得交易费用。

区块奖励，矿工奖励，Founders’ Reward以及funding streams的计算依赖于区块高度。

3.5 coinbase transaction

区块中的第一笔交易称为coinbase transaction。
coinbase transaction会collects and spends any miner subsidy and transaction fees paid by transactions included in this block。

3.6 Zcash的主网和测试网

Zcash protocol 由Electric Coin Company和Zcash Foundation共同管理。

Zcash主网Mainnet的token为ZEC，测试网Testnet的token为TAZ。$1ZEC=10^{8}zatoshi,1TAZ=10^{8}zatoshi$

本节所有的区块hash值都以RPC byte order形式表示（为byte-reversed relative to the normal order for a SHA-256 hash）。
主网Mainnet的genesis block hash值为：00040fe8ec8471911baa1db1266ea15dd06b4a8a5c453883c000b031973dce08
测试网Testnet的genesis block hash值为：
05a60a92d99d85997cce3b87616c089f6124d7342af37106edc76126334a2c38

4. Sending notes (Sapling)

为了send Sapling shielded value，sender需在交易中构建一个或多个 Output description。

令$ovk$为可用于decrypt 该payment的outgoing viewing key，$ovk$的取值可为以下之一：

• payment发送方（或发送方之一）的outgoing viewing key；
• the outgoing viewing key for all payments associated with an “account”，具体见ZIP-32中定义。
• 为$\perp$，if the sender should not be able to decrypt the payment once it has deleted its own copy。

相比于comprise of its own secrets，若sender想要具有forward secrecy of the payment information，可选择$ovk$为$\perp$。

sender为每个Output description选择a value v : { 0.. MAX_MONEY } v:\{0..\text{MAX\_MONEY}\} v:{ 0..MAX_MONEY} 和 a destination Sapling shielded payment address $(d,p{k}_d)$，然后执行以下操作：

• 1）check $p{k}_d$为$K{A}^{Sapling}.PublicPrimeSubgroup$类型，即$p{k}_d$必须为Jubjub curve上一个有效的ctEdwards curve point，且$[r_{\mathbb{J}}]p{k}_d={\mathcal{O}}_{\mathbb{J}}$。

• 2）计算$g_d=DiversifyHas{h}^{Sapling}(d)$，并验证$g_d$不为$\perp$。

• 3）选择uniformly random commitment trapdoor $rcv{\leftarrow }_{R}ValueCommi{t}^{Sapling}.GenTrapdoor()$

• 4）选择uniformly random ephemeral private key e s k ← R K A S a p l i n g . P r i v a t e ∖ { 0 } esk\leftarrow_R KA^{Sapling}.Private\setminus\{0\} esk←R​KASapling.Private∖{ 0}

• 5）计算$cv=ValueCommi{t}_{rcv}^{Sapling}(v)$

• 6）计算$cm=NoteCommi{t}_{rcm}^{Sapling}(rep{r}_{\mathbb{J}}(g_d),rep{r}_{\mathbb{J}}(p{k}_d),v)$

• 7）令$\mathbf{n}\mathbf{p}=(leadByte,d,v,memo)$，分别用接收方的diversified transmission key $p{k}_d$、outgoing viewing key $ovk$对$\mathbf{n}\mathbf{p}$进行加密，并用diversified base $g_d$根据$esk$计算$epk$，最终输出transmitted note ciphertext $(epk,C^{enc},C^{out})$。具体可参见”Encryption (Sapling)“ 章节内容，也可以根据$cv,cmu$来计算$ock$，然后以$esk$为输入进行加密。【$cmu$为Output description中的$c{m}_u$ field。】
  【 详细的加解密流程可参看博客 Zcash中的加解密机制 】

• 8）为Output statement生成proof ${\pi }_{ZKOutput}$。

• 10）最终sending note流程的输出为$(cv,cm,epk,C^{enc},C^{out},{\pi }_{ZKOutput})$。

为了减少信息泄露，sender应随机打乱 交易中的Output descriptions的顺序。

最终，the encoded transaction会提交到peer-to-peer网络。

Sapling中没必要使用Dummy notes。

一笔交易中可以有1个或多个JoinSplit descriptions或Spend descriptions。当进入到区块链中，会将所有的候选constituent note commitments添加到note commitment tree中。所有的constituent nullifiers也会进入到关联的treestate的nullifier set中。若某nullifier在nullifier set中已存在，则该nullifier不允许添加，且可判定该交易为not valid的。

在Sapling中，每个positioned note有关联的$\rho$值，该$\rho$值可根据note commitment $cm$ 和 note position $pos$计算出来：
$\rho =MixingPedersenHash(cm,pos)$

对于Sapling note，其nullifier $nf$ 可derived as $PR{F}_{nk\star }^{nfSapling}(\rho \star )$，其中$nk\star$代表与note关联的nullifier deriving key，$\rho \star =rep{r}_{\mathbb{J}}(\rho )$。

Security requirement：对于每一个shielded protocol，对nullifier derivation的要求如下：

• derived 必须由note的fields完全确定，由其position可能确定。使得其可被checked in the corresponding statement that controls spends。（即JoinSplit statement，或Spend statement）
• 已假设$\rho$值为唯一的，则要求generate two notes with distinct note commitments but the same nullifier是不可能的。
• 给定一组未知notes的nullifiers set，无法以多于随机的概率来将note和nullifier值关联，甚至于adversary知道相应的incoming viewing keys（而不是full viewing keys） 的情况下也无法确定相应的关联关系，甚至于其中的某些notes是由adversary创建的。

参考资料

[1] Zcash Protocol Specification